CuteRansomware, il Ransomware che si nasconde su Google Doc

 

Proto: N030716. 

Con la presente Yoroi desidera comunicarLe che è stato recentemente osservata una nuova tipologia di Ransomware che utilizza Google Doc per memorizzare le chiavi di decifratura.
Alcuni mesi fa l’utente aaaddress1 ha pubblicato su github il codice sorgente di MyLitteRansomware, in poco tempo il modulo ransomware è diventato estremamente popolare ed è stato utilizzato come base per lo sviluppo di diverse nuove varianti. Negli ultimi giorni alcuni ricercatori hanno individuato una versione modificata di MyLittleRansomware che è stata poi denominata cuteRansomware.

Nonostante si tratti di un malware molto semplice ci sono alcune caratteristiche e problematiche sollevate da cuteRansomware che non sono da sottovalutare:

Utilizzo di piattaforme note e condivise
Molte organizzazioni utilizzano Google Doc per le proprie attività. Bloccare il traffico malevolo senza compromettere l’usabilità della piattaforma può essere molto complesso. È necessario bloccare selettivamente le istanze applicative associate al ransomware consentendo a quelle esplicitamente autorizzate di continuare a lavorare.

Nuovo focus sulla sicurezza dei servizi Cloud
I fornitori di servizi Cloud dovranno alzare la guardia e monitorare i propri prodotti. Dovranno istituire controlli che permettano di distinguere utilizzi illeciti dei propri servizi.

Esempio per sviluppi futuri:
cuteRansomware ha dimostrato la possibilità di utilizzare con successo tecnologie Cloud all’interno di campagne Ransomware. Dobbiamo aspettarci un incremento di ransomware che sposteranno le proprie attività su servizi Cloud, andando probabilmente ad appoggiarsi anche a servizi maggiormente utilizzati dalle compagnie di tutto il mondo come Microsoft Office 365.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).
 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index